Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 06.04.2016, 19:44   #1020
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 10 226

kroxus вне форума

IT-безопасность-свежие новости.


Новый вариант Locky изменяет коммуникацию с сервером атаки

ИБ-эксперты предупреждают о скором появлении более сложных и опасных модификаций вымогателя Locky – более сложные образцы зловреда уже замечены itw.

Чтобы избежать детектирования, Locky изменяет принцип сообщения между зараженным компьютером и сервером атаки, с которого загружается вымогатель, о чем сообщили в компании Check Point.

В Check Point также впервые заметили, что в распространении Locky задействован эксплойт-пак Nuclear. «Эта находка демонстрирует, что Locky больше не ограничивается распространением через спам и заручился поддержкой продавцов эксплойт-паков с черного рынка», — отметила Майа Хоровитц (Maya Horowitz), руководитель исследовательской группы в Check Point.

Она также подчеркнула, что Locky постепенно перенимает привычки других известных вымогателей вроде CryptoWall и TeslaCrypt, которые одинаково активно раздаются через спам и эксплойт-паки. Однако основным каналом распространения для Locky пока остается спам. Специалисты из Check Point исследовали по крайней мере два актуальных изменения в осуществлении коммуникации между зараженным компьютером и С&C-сервером, с которого происходит загрузка зловреда. По мнению Хоровитц, ИБ-исследователям необходимо понять природу этих изменений, чтобы эффективно отражать атаки. Однако Хоровитц признает, что значение модификаций в Locky не стоит преувеличивать. Хакеры просто поменяли порядок запросов с инфицированной машины, чтобы обмануть антивирусы, которые уже знают схему коммуникации зловреда с инфраструктурой. Подробности о внесенных в код изменениях были опубликованы в понедельник в преамбуле к исследованию Check Point. «Метод коммуникации Locky снова изменился, — говорится в исследовании. – В ходе исследования эксплойт-паков мы столкнулись с еще одной модификацией в одной из итераций Locky, распространяемой через Nuclear. В этот раз изменения значительны и касаются как загрузчика, поставляемого через эксплойт-кит, так и коммуникации зловреда с командным сервером». По словам экспертов Check Point, Locky набирал мощь с момента первого обнаружения 16 февраля – вымогатель уже пытался заразить компьютеры в более чем 100 странах. Основным вектором атаки были спам-сообщения, к которым был приложен Word-документ, содержащий вредоносный макрос. При запуске макроса исполняется скрипт, и Locky загружается на компьютер жертвы. Недавнее исследование, надеются в Check Point, поможет своевременно проинформировать инфосек-сообщество о новом способе связи Locky с сервером атаки. С февраля исследователи Check Point зарегистрировали по крайней мере десять различных вариантов загрузчика Locky. Каждый из них пытался обойти антивирусы, пряча зловреда в различных типах файлов (.doc, .docm, .xls и .js) и выдавая их за неоплаченные счета. Locky, по сведениям Check Point, не является уникальным вымогателем – наоборот, его успех зиждется на очень эффективных спам-кампаниях. ИБ-компания Trustwave 10 марта наблюдала массированную спам-атаку, в ходе которой распространялся загрузчик Locky. На тот момент Locky содержался в 18% всех спам-сообщений, выявленных аналитиками в течение недели, хотя обычно показатель вредоносного спама составляет не более 2% от общего количества спам-сообщений.

Источник
__________________
пусть всегда будет солнце
  Ответить с цитированием
 
Яндекс.Метрика